Особливості використання та конфігурування трансляції мережевих адрес (NAT) та адрес портів (PAT)
Перетворення адрес методом NAT може проводитися майже будь-яким маршрутизуючого пристроєм - маршрутизатором, сервером доступу, міжмережевим екраном. Найбільш популярним є SNAT, суть механізму якого полягає в заміні адреси джерела (англ. source) при проходженні пакета в один бік і зворотного заміні адреси призначення (англ. destination) у відповідному пакеті. Поряд з адресами джерело / призначення можуть також замінюватися номери портів джерела і призначення. Приймаючи пакет від локального комп'ютера, роутер дивиться на IP-адресу призначення. Якщо це локальний адресу, то пакет пересилається іншому локальному комп'ютеру. Якщо ні, то пакет треба переслати назовні в інтернет. Але ж зворотною адресою у пакеті вказано локальний адресу комп'ютера, який з інтернету буде недоступний. Тому роутер «на льоту» транслює (підміняє) зворотний IP-адреса пакета на свій зовнішній (видимий з інтернету) IP-адресу і змінює номер порту (щоб розрізняти відповідь пакети, адресовані різним локальним комп'ютерам). Комбінацію, потрібну для зворотного підстановки, роутер зберігає у себе в тимчасовій таблиці. Через деякий час після того, як клієнт і сервер закінчать обмінюватися пакетами, роутер зітре у себе в таблиці запис про n-му порте за строком давності. Крім source NAT (надання користувачам локальної мережі з внутрішніми адресами доступу до мережі Інтернет) часто застосовується також destination NAT, коли звернення ззовні транслюються міжмережевим екраном на комп'ютер користувача в локальній мережі, що має внутрішній адресу і тому недоступний ззовні мережі безпосередньо (без NAT). Існує 3 базових концепції трансляції адрес: статична (Static Network Address Translation), динамічна (Dynamic Address Translation), маскарадний (NAPT, NAT Overload, PAT). Статичний NAT - Відображення незареєстрованого IP-адреси на зареєстрований IP-адресу на підставі один до одного. Особливо корисно, коли пристрій повинен бути доступним зовні мережі. Динамічний NAT - Відображає незареєстрований IP-адресу на зареєстровану адресу від групи зареєстрованих IP-адрес. Динамічний NAT також встановлює безпосереднє відображення між незареєстрованим та зареєстрованим адресою, але відображення може мінятися залежно від зареєстрованої адреси, доступного в пулі адрес, під час комунікації. Перевантажений NAT (NAPT, NAT Overload, PAT, маськарадінг) - форма динамічного NAT, який відображає кілька незареєстрованих адрес в єдиний зареєстрований IP-адреса, використовуючи різні порти. Відомий також як PAT (Port Address Translation). При перевантаженні кожен комп'ютер у приватній мережі транслюється в той же самий адресу, але з різним номером порту. Port Address Translation (PAT) — це можливість мережевих пристроїв, яка транслює TCP або UDP зв'язки, встановлені між хостами в приватній мережі та хостами в публічниій мережі. Вона дає можливість одиничній публічній IP-адресі бути використаною багатьма хостами в приватній мережі, яка зазвичай є LAN (Local Area Network). Пристрій PAT прозоро змінює IP пакети, коли вони проходять через нього. Ці зміни роблять всі пакети, які надіслані назовні (в публічну мережу), з багатьох хостів в приватній мережі такими, наче вони виходять в публічну мережу від одиничного хоста (пристрою PAT). PAT є підмножиною NAT, і є тісно пов'язана з концепцією NAT. PAT також відомий, як NAT Overload. В PAT загалом тільки одна експонована публічно IP-адреса і багато приватних (внутрішніх) хостів, з'єднаних через експоновану адресу. Вхідні пакети з відкритої мережі маршрутизуються до своїх призначень у внутрішній мережі за посиланнями в таблиці, збереженій всередині пристрою PAT, який відстежує внутрішні і зовнішні пари портів. З PAT, всі пакети направлені до зовнішніх хостів, насправді містять зовнішні IP та інформацію про порт пристрою PAT замість IP чи порту внутрішніх хостів.
· Коли комп'ютер внутрішньої мережі надсилає пакет в зовнішню мережу, пристрій PAT змінює внутрішню IP адресу в полі джерела заголовка пакету (адреса відправника) на зовнішню IP адресу пристрою PAT. Тоді він призначає з'єднанню номер порту з пулу доступних портів, вставляє цей номер в поле порту джерела (більш за все схоже на номер поштової скриньки), і передає пакет в зовнішню мережу. Пристрій PAT далі робить запис в таблиці трансляцій, яка містить внутрішні IP-адреси, оригінальні порти джерел, та переданий порт джерела. Послідовні пакети з того самого з'єднання передаються на тому самому порті.
· Комп'ютер, який отримує пакет, що зазнав змін PAT, встановлює з'єднання з портом і IP-адресою, призначеною в цьому зміненому пакеті, незважаючи на факт, що отримана адреса є зміненою (аналогічно до використання номера поштової скриньки).
· Пакет, який прийшов з зовнішньої мережі, відображається відповідно до внутрішньої IP-адреси, та номера порту, з таблиці трансляцій, заміною зовнішньої IP-адреси та номера порту у заголовку вхідного пакету (схоже до трансляції з номера поштової скриньки в адресу вулиці). Потім пакет передається далі всередину мережі (внутрішньої). З іншого боку, якщо порт призначення вхідного пакету не знайдено в таблиці трансляцій, пакет відкидається, бо пристрій PAT не знає, куди його відсилати.
PAT тільки транслює IP-адреси та порти своїх внутрішніх хостів, ховаючи дійсний кінцевий пункт, внутрішній хост у приватній мережі, і беручи цю роль на себе при взаємодії з зовнішньою мережею.
Функціонування та конфігурування DHCP.
DHCP (англ. Dynamic Host Configuration Protocol — протокол динамічної конфігурації вузла) — це мережний протокол, що дозволяє комп'ютерам автоматично одержувати IP-адресу й інші параметри, необхідні для роботи в мережі TCP/IP. DHCP-сервери виконують функції диспетчерів, які видають адреси, контролюють їх використання і повідомляють клієнтам необхідні параметри конфігурації. Сервер підтримує пул вільних адрес і, крім того, веде власну реєстраційну базу даних. Взаємодія DHCP-серверів зі станціями-клієнтами здійснюється шляхом обміну повідомленнями. Протокол DHCP централізовано призначає IP-адреси в мережі і автоматично конфігурує робочі станції. В одній мережі може бути кілька серверів DHCP. І це не тільки не відіб'ється на продуктивності мережі, але навіть підвищить надійність мережі, якщо, наприклад, один з серверів вийде з ладу. Отже, встановіть пакет dhcp і увімкніть підтримку динамічних IP-адрес командою echo "1"> / proc/sys/net/ipv4/ip_dynaddr. Ясна річ, нічого не потрібно робити, якщо підтримка динамічних IP-адрес вже включена (у більшості випадків це так). DHCP в Linux реалізований у вигляді демона сервера (dhcpd) і демона клієнта (dhcpcd). Демон сервера безпосередньо відповідає за призначення IP-адрес клієнтам, при вході і виході їх з мережі. Кліетскій демон, як виявляється з назви, запускається на стороні клієнта. Конфігураційних файлом для dhcpd є / etc / dhcp.conf. При запуску DHCP-сервера відбувається виділення IP-адрес згідно містяться у файлі / etc / dhcp.conf установкам. Виділені адреси dhcpd реєструє у файлі dhcpd.leases, який зазвичай знаходиться в каталозі / var / dhcpd.
Динамічне конфігурування адрес хостів (DHCP).
DHCP (англ. Dynamic Host Configuration Protocol — протокол динамічної конфігурації вузла) — це мережний протокол, що дозволяє комп'ютерам автоматично одержувати IP-адресу й інші параметри, необхідні для роботи в мережі TCP/IP. Для цього комп'ютер звертається до спеціального серверу, під назвою сервер DHCP. Мережевий адміністратор може задати діапазон адрес, що розподіляють серед комп'ютерів. Це дозволяє уникнути ручного налаштування комп'ютерів мережі й зменшує кількість помилок. Протокол DHCP використовується в більшості великих мереж TCP/IP. DHCP є розширенням протоколу BOOTP, що використовувався раніше для забезпечення бездискових робочих станцій IP-адресами при їхньому завантаженні. DHCP зберігає зворотну сумісність з BOOTP. Протокол DHCP працює у віповідності клієнт-сервер. Під час запуску системи комп'ютер, який є DHCP-клієнтом, відправляє в мережу запит на отримання IP-адреси. DHCP-сервер відповідає і відправляє повідомлення-відповідь, яка містить IP-адресу і деякі інші конфігураційні параметри. При цьому сервер DHCP може працювати в різних режимах, включаючи:
1. Динамічний розподіл - адміністратор присвоює IP-діапазон адрес на сервері DHCP. Кожен клієнтський комп'ютер в мережі повинен запросити IP-адресу від DHCP-сервера, коли мережа ініціалізується за концепцією "оренди". Коли закінчується термін оренди, якщо вона не буде продовжена, DHCP-сервер має право повернути адресу і призначити її на інші комп'ютери.
2. Автоматичне виділення - сервер DHCP буде постійно призначати вільний IP-адрес з діапазону, встановленого адміністратором, запитуючому комп'ютеру. Основна відмінність з динамічним розподілом в тому, що сервер зберігає записи минулих завдань IP і намагається привласнити ту ж адресу тому ж комп'ютеру для майбутніх мережних підключень.
3. Статичний розподіл - сервер DHCP робить призначення IP-адрес виключно на основі таблиці MAC-адрес, які зазвичай заповнені вручну адміністратором мережі. Якщо MAC-адреса комп'ютера, не зазначена в таблиці йому не буде призначений мережевий адрес.
Протокол PPP.
PPP — це механізм для створення й запуску IP (Internet Protocol) й інших мережевих протоколів на послідовних лініях зв'язку — прямий послідовний зв'язок (по нуль-модемному кабелю), зв'язок поверх Ethernet або модемний зв'язок по телефонних лініях. Використовуючи PPP, можна під'єднати комп'ютер до PPP-сервера й одержати доступ до ресурсів мережі, до якої під'єднаний сервер так, начебто ви підключені безпосередньо до цієї мережі. Протокол РРР є основою для всіх протоколів другого рівня. Зв'язок по протоколу РРР складається із чотирьох стадій: встановлення зв'язку (здійснюється вибір протоколів аутентифікації, шифрування, стиснення і встановлюються параметри з'єднання), визначення аутентичності користувача (реалізуються алгоритми аутентифікації, на основі протоколів РАР, CHAP або MS-CHAP), контроль повторного виклику РРР (необов'язкова стадія, у якій підтверджується справжність віддаленого клієнта), виклик протоколу мережевого рівня (реалізація протоколів установлених на першій стадії). PPP включає IP, IPX й NetBEUI пакети всередині PPP кадрів. Зазвичай використовується для встановлення прямих з'єднань між двома вузлами. Широко застосовується для з'єднання комп'ютерів за допомогою телефонної лінії. Також використається поверх широкосмугових з'єднань. Багато хто з провайдерів використають PPP для надання комутованого доступу в Інтернет. PPP протокол був розроблений на основі HDLC і доповнений деякими можливостями, які до цього зустрічалися тільки в пропрієтарних протоколах. Link Control Protocol (LCP) забезпечує автоматичне налаштування інтерфейсів на кожному кінці (наприклад, установка розміру пакетів) і опціонально проводить аутентифікацію. Протокол LCP працює поверх PPP, тобто початкова PPP зв'язок повинна бути до роботи LCP. RFC 1994 описує Challenge-handshake authentication protocol (CHAP), який є кращим для з'єднань з провайдерами. Вже застарілий Password authentication protocol (PAP) все ще іноді використовується. Іншим варіантом аутентифікації через PPP є Extensible Authentication Protocol (EAP). Після того, як з'єднання було встановлено, поверх нього може бути налаштована додаткова мережу. Зазвичай використовується Internet Protocol Control Protocol (IPCP), хоча Internetwork Packet Exchange Control Protocol (IPXCP) і AppleTalk Control Protocol (ATCP) були колись популярні. Internet Protocol Version 6 Control Protocol (IPv6CP) отримає більше поширення в майбутньому, коли IPv6 замінить IPv4 як основний протокол мережного рівня. PPP дозволяє працювати декількох протоколах мережного рівня на одному каналі зв'язку. Іншими словами, всередині одного PPP-з'єднання можуть передаватися потоки даних різних мережевих протоколів (IP, Novell IPX і т. д.), а також дані протоколів канального рівня локальної мережі. Для кожного мережевого протоколу використовується Network Control Protocol (NCP) який його конфігурує (погоджує деякі параметри протоколу). PPP виявляє закільцьовані зв'язку, використовуючи особливість, що включає magic numbers. Коли вузол відправляє PPP LCP повідомлення, вони можуть включати в себе магічне число. Якщо лінія закольцована, вузол отримує повідомлення LCP з його власним магічним числом замість отримання повідомлення з магічним числом клієнта. Так як в PPP входить LCP протокол, то можна керувати наступними LCP параметрами:
1. Аутентифікація. RFC 1994 описує Challenge Handshake Authentication Protocol (CHAP), який є кращим для проведення аутентифікації в PPP, хоча Password Authentication Protocol (PAP) іноді ще використовується. Іншим варіантом для аутентифікації є Extensible Authentication Protocol (EAP).
2. Стиснення. Ефективно збільшує пропускну здатність PPP з'єднання, за рахунок стиснення даних в кадрі. Найбільш відомими алгоритмами стиснення PPP кадрів є Stacker і Predictor.
3. Виявлення помилок. Включає Quality-Protocol і допомагає виявити петлі зворотного зв'язку за допомогою Magic Numbers RFC 1661.
4. Багатоканальність. Multilink PPP (MLPPP, MPPP, MLP) надає методи для розповсюдження трафіку через кілька фізичних каналів, маючи одне логічне з'єднання. Цей варіант дозволяє розширити пропускну здатність і забезпечує балансування навантаження.
Протокол Frame Relay.
Frame relay (англ. «ретрансляція кадрів», FR) - протокол канального рівня мережевої моделі OSI. Служба комутації пакетів Frame Relay в даний час широко поширена в усьому світі. Максимальна швидкість, що допускається протоколом FR - 34,368 мегабіт / сек (канали E3). Frame Relay був створений на початку 1990-х в якості заміни протоколу X.25 для швидких надійних каналів зв'язку, технологія FR архітектурно грунтувалася на X.25 і багато в чому схожа з цим протоколом, проте на відміну від X.25, розрахованого на лінії з досить високою частотою помилок, FR спочатку орієнтувався на фізичні лінії з низькою частотою помилок, і тому більша частина механізмів корекції помилок X.25 до складу стандарту FR не ввійшла. У розробці специфікації брали участь багато організацій; численні постачальники підтримують кожну з існуючих реалізацій, виробляючи відповідне апаратне і програмне забезпечення. Frame relay забезпечує безліч незалежних віртуальних каналів (Virtual Circuits, VC) в одній лінії зв'язку, ідентифікованих в FR-мережі по ідентифікаторах підключення до з'єднання (Data Link Connection Identifier, DLCI). Замість засобів управління потоком включає функції сповіщення про перевантаження в мережі. Можливе призначення мінімальної гарантованої швидкості (CIR) для кожного віртуального каналу. В основному застосовується при побудові територіально розподілених корпоративних мереж, а також у складі рішень, пов'язаних із забезпеченням гарантованої пропускної здатності каналу передачі даних (VoIP, відеоконференції і т. п.). Для передачі даних від відправника до одержувача в мережі Frame Relay створюються віртуальні канали, VC (англ. Virtual Circuit), які бувають двох видів:
1. постійний віртуальний канал, PVC (Permanent Virtual Circuit), який створюється між двома точками і існує протягом тривалого часу, навіть у відсутність даних для передачі;
2. комутований віртуальний канал, SVC (Switched Virtual Circuit), який створюється між двома точками безпосередньо перед передачею даних і розривається після закінчення сеансу зв'язку
Дата добавления: 2015-08-29; просмотров: 88 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |
| Технические требования к автомобилям | | | Тестовые задания Раздел 1 Концепция инновационной экономики (Модуль 1) |